حمله خطرناک بدافزارها به تاسیسات تامین انرژی

|
۰ دیدگاه
security-100023223-gallery

محققان امنیتی یک تهدید جدید از سوی بدافزار های جاسوسی کشف کرده‌اند که در مدت طولانی هنگام حمله به موسسات و منابع انرژی، به طور ناشناس به انجام خراب‌کاری می‌پردازد.

به گزارش کلیک، این برنامه جاسوسی که محققان شرکت امنیتی SentinelOne آن را از دار‌ و دسته Furtim لقب داده‌اند، در اصطلاح یک برنامه Dropper است که در حین خراب‌کاری، ابزار و قطعات آلوده به بدافزار دیگری را دانلود و مورد استفاده قرار می‌دهد. محققان بر این باورند که این بدافزار در دو ماه گذشته و توسط مهاجمان تحت حمایت ساخته شده است.

هدف از برنامه Dropper، آماده سازی زمینه برای نصب و راه‌اندازی اجزای دیگر از نرم افزارهای مخرب است که می‌توانند وظایف و عملیات خاصی انجام دهند. اولویت آن ها این است که غیر قابل تشخیص باقی بمانند، به سرویس‌ها  قسمت‌های هدف دسترسی پیدا کنند و قسمت‌های امنیتی را از کار بیندازند. جالب این جاست که خانواده بدافزار‌های Furtim، دقیقا تمام عملیات مذکور را در دستور کار خود داشته‌اند.

هنگامی که این بدافزار برای اولین بار بر روی یک سیستم اجرا شود، نرم‌افزار های جاسوسی آن، محیط را از لحاظ وجود ماشین‌های مجازی، سندباکس‌ها، برنامه‌های آنتی ویروس، فایروال‌ها، ابزار استفاده شده توسط تحلیل گران بدافزار و نرم افزار‌های بیومتریک مورد آزمایش قرار می‌دهد.

آزمایش‌ها گسترده هستند و شامل چک کردن در برابر لیست‌های سیاه از شناسه‌های CPU، اسامی هاست‌ها، نام فایل‌ها، کتابخانه‌های DLL ، دایرکتوری‌ها، اطلاعات هسته پردازنده، اجراکنندگان هسته، فرآیندهای در حال اجرا،اطلاعات فروشنده هارد دیسک، کارت‌های شبکه، آدرس‌های MAC و اطلاعات BIOS و نیز اطلاعات مجازی سازی‌ها و برنامه های امنیتی می‌شود.

در برخی از موارد، اگر چنین نرم افزاری شناسایی شود، بدافزار به طور خودکار خود را از بین می‌برد. در برخی دیگر از حالات، به فعالیت خود ادامه می‌دهد، اما قابلیت‌خود را محدود می‌کند و اگر یک آنتی‌ویروس بر سر راهش قرار گیرد، قابلیت‌های خود را به طور کامل غیرفعال می‌کند.

عمق و پیچیدگی این آزمایشات نشان‌دهنده این است که سازندگان بدافزار درک خوبی از ویندوز و محصولات امنیتی دارند و همین موضوع باعث شد محققان به این باور برسند که مجموعه Furtim نتیجه کار چندین توسعه دهنده با مهارت‌های سطح بالا و دسترسی به منابع قابل توجه است.

این بدافزار خودش را به عنوان یک فایل معمولی بر روی دیسک نصب نمی‌کند؛ درعوض، خود را به عنوان یک جریان داده جایگزین NTFS معرفی می‌کند که در ابتدای فرایند راه اندازی سیستم کامپیوتر اجرا می‌شود و با فراخوانی APIهای ویندوز، درصدد دور زدن محصولات امنیتی می‌شود.

محققان SentinelOne گفتند: استفاده از فراخوانی‌های غیر مستقیم و پنهان، تجزیه و تحلیل استاتیک دستی را تقریبا غیر ممکن می‌کند و سرعت تجزیه و تحلیل دستی و پویا را به مراتب کاهش می‌دهد.

این بدافزار با سوء استفاده از دو دسترسی ویندوز، که یکی از آن‌ها توسط مایکروسافت در سال ۲۰۱۴ و یکی در سال ۲۰۱۵ ارائه شدند، و همچنین یک روش بای‌پس شناخته شده کنترل حساب کاربر (UAC) برای به دست‌آوردن دسترسی، کار می‌کند. اگر بدافزار این دسترسی را به دست آورد، کاربر فعلی به گروه مدیران اضافه می‌شود تا امکان اجرای عملیات جاسوسی و مشکوک پنهان از بین برود.

پس از نصب، نرم‌افزار جاسوسی در سکوت به غیر فعال سازی لایه های حفاظتی چندین آنتی ویروس می‌پردازد و تنظیمات DNS سیستم را برای جلوگیری از دسترسی به سرور به روز رسانی آنتی ویروس خاص از کار می‌اندازد. بدین ترتیب، این فرایند تضمین می کند که زمینه برای نصب و اجرای عملیات محموله مورد نظر فراهم است.

یک محموله مشاهده شده توسط محققان SentinelOne برای جمع آوری اطلاعات از سیستم های آلوده و ارسال آن به سرور فرمان و کنترل استفاده شد که به احتمال زیاد یک ابزار شناسایی بود، اما Dropper نیز می‌توانست برای دانلود قطعات طراحی شده برای استخراج اطلاعات حساس و یا انجام اقدامات مخرب، مورد استفاده قرار گیرد.

شرکت های تولید و توزیع انرژی هدف مناسبی برای حملات سایبری هستند، زیرا سیستم‌های آن‌ها به طور بالقوه می‌تواند آسیب های فیزیکی به سیستم وارد کند و این دقیقا همان موردی است که در ماه دسامبر در اوکراین رخ داد؛ زمانی که هکرها با استفاده از نرم افزارهای مخرب، به تجهیزات نفوذ کردند و باعث قطع گسترده برق در کشور شدند.

 

محمدرضا رشیدی
محمدرضا رشیدی هستم. دانشجوی کارشناسی فناوری اطلاعات دانشگاه آزاد نجف آباد و مدرس زبان در موسسه خانه و صنعت و معدن ایرانیان ( شعبه مرکزی،اصفهان ) .حدود 5 سالی هست که در زمینه ترجمه و ویرایش مقالات مجلات اینترنتی فعالیت می کنم و کتاب هایی رو هم ترجمه کردم که به صورت اینترنتی منتشر شدند که بارز ترینشون کتاب امنیت گوگل بود. حالا هم این افتخارو دارم که در خدمت شما عزیزان خوانندگان مجله اینترنتی کلیک باشم.
از این نویسنده

بدون دیدگاه

جهت ارسال پیام و دیدگاه خود از طریق فرم زیر اقدام و موارد زیر را رعایت نمایید:
  • پر کردن موارد الزامی که با ستاره قرمز مشخص شده است اجباری است.
  • در صورتی که سوالی را در بخش دیدگاه مطرح کرده باشید در اولین فرصت به آن پاسخ داده خواهد شد.